LEGALAUDIT
Cyber Coach

Phishing

Smishing: SMS finti da Poste, INPS e banca

Messaggi brevi che spingono a cliccare un link 'sicurezza-conto'. Riconosci dominio, mittente alfanumerico e canale ufficiale.

7 min di letturaBase

Indicatori da riconoscere

  • Mittente alfanumerico identico a quello vero (es. 'INPS') ma con messaggio diverso dal solito
  • Link accorciato (bit.ly, tinyurl) o dominio molto lungo con sottodomini sospetti
  • Richiesta di aggiornare i dati, sbloccare il conto o ritirare un pacco
  • Importo piccolo (1-3 euro) per 'dazi doganali' o 'spese di consegna'
  • Tempo limite di 24h o 'ultimo avviso'
  • Numero mittente internazionale o variabile su SMS che dichiarano essere della banca
  • Errori sottili: spazi doppi, accenti mancanti, traduzione automatica

Cosa fare subito

  • Non cliccare il link: apri l'app ufficiale o digita il dominio a mano
  • Inoltra l'SMS al 7726 (servizio anti-smishing degli operatori) e cancellalo
  • Verifica la spedizione direttamente sul sito del corriere usando il codice già in tuo possesso
  • Se hai cliccato: chiudi il browser, controlla il conto, cambia password della banca
  • Salva uno screenshot con data e ora per eventuale denuncia

Caso reale

Campagna 'Poste Italiane - pacco in giacenza', ottobre 2025

In tre settimane l'AGID ha tracciato oltre 280.000 SMS con testo 'Poste Italiane: il tuo pacco e in giacenza, paga 1.99 EUR per riconsegna' e link verso domini come poste-riconsegna.shop o sdpd-it.com. Il mittente alfanumerico era 'PosteIT', identico a quello legittimo.

La landing chiedeva nome, indirizzo, e poi i dati completi della carta inclusi CVV e OTP. Un 23enne di Catania ha perso 3.400 EUR in 9 minuti dopo l'inserimento, perché i criminali hanno aggiunto la carta a un wallet su Apple Pay e prosciugato il conto con micro-pagamenti contactless.

Mythos ha analizzato il link: dominio registrato 48h prima su registrar russo, certificato Let's Encrypt emesso il giorno stesso, codice JavaScript identico a 14 altri domini già segnalati. Il dossier ha consentito alla Polizia Postale di chiedere il takedown e collegare la campagna a un cluster di rete già mappato.

Cosa può fare Mythos su questo caso

  • Analisi del link con espansione redirect e fingerprint della landing
  • Verifica WHOIS, età del dominio e reputazione su feed CERT-AGID e PhishTank
  • Classificazione del brand impersonato e similarità visiva con il sito originale
  • Estrazione dei campi form richiesti (carta, OTP, dati personali)
  • Tracciamento di cluster di domini collegati (stesso JS, stesso hosting, stesso pattern)

Passi successivi

Analizza l'SMS con MythosChiedi aiuto a Mythos per la denuncia